En mai 2024, des cybercriminels ont exploité des identifiants clients compromis pour accéder aux environnements Snowflake d’au moins 160 grandes entreprises, dans ce qui constitue l’une des plus grandes séries de fuites de données par compromission de plateforme cloud de l’histoire.
La méthode : credentials volés via infostealers
Snowflake lui-même n’a pas subi de vulnérabilité technique directe. Les attaquants — identifiés comme le groupe UNC5537, également connu sous les noms Scattered Spider ou ShinyHunters — ont utilisé des identifiants volés via des malwares de type infostealer présents sur les machines des employés des entreprises victimes. L’absence de MFA sur ces comptes Snowflake a rendu la compromission triviale. Une fois connectés avec des identifiants légitimes, les attaquants ont pu exfiltrer massivement les données sans déclencher d’alertes. Les données volées ont ensuite été utilisées pour des tentatives d’extorsion.
Des victimes de premier plan
Parmi les entreprises victimes figurent : Ticketmaster/Live Nation (dont les données de millions de clients ont été exposées), Santander Bank, AT&T; (plus de 50 milliards d’enregistrements d’appels), LendingTree, Advance Auto Parts, Neiman Marcus et Bausch Health. L’ampleur de l’incident a déclenché des enquêtes réglementaires dans plusieurs pays et mis en lumière les risques liés à la concentration de données sensibles dans des environnements cloud partagés, notamment lorsque les pratiques de sécurité de base comme le MFA ne sont pas appliquées.
La leçon principale : le MFA comme barrière critique
Cet incident démontre que la sécurité d’une plateforme cloud ne dépend pas uniquement du fournisseur lui-même. Les pratiques de sécurité des utilisateurs — et notamment l’activation du MFA et la protection des postes de travail contre les infostealers — sont tout aussi déterminantes.
Recommandations clés
- Activer obligatoirement le MFA sur tous les comptes d’accès aux plateformes cloud (Snowflake, AWS, Azure, GCP)
- Déployer des solutions EDR sur tous les postes de travail pour détecter et bloquer les infostealers
- Surveiller en permanence les connexions aux espaces cloud (horaires et localisations inhabituelles)
- Mettre en place une rotation régulière des identifiants de service et des clés d’accès API
- Limiter les droits d’accès aux données cloud selon le principe du moindre privilège
- Auditer régulièrement les configurations de sécurité des environnements cloud
Articles Similaires
Cyberattaque contre la DGID du Sénégal
Une attaque attribuée au groupe Black Shrantac a perturbé les services fiscaux sénégalais. Les cybercriminels ont revendiqué le vol d'environ 1 To de données et exigé une rançon de 10 millions d'euros.
Piratage de la DAF du Sénégal
Les systèmes liés à la production des cartes nationales d'identité ont été affectés par une cyberattaque. Les assaillants ont affirmé avoir exfiltré 139 Go de données sensibles...
Fuite de données chez MTN Group
Le géant africain des télécommunications MTN a confirmé un incident de sécurité ayant entraîné l'exposition non autorisée de données personnelles de clients dans plusieurs pays africains....
Ransomware contre Telecom Namibia
L'opérateur national namibien a subi une attaque par rançongiciel ayant provoqué des interruptions de services et la divulgation de données revendiquée par les attaquants...
Cyberattaque contre Change Healthcare
Le groupe ALPHV/BlackCat a paralysé les systèmes de santé américains. L'incident a perturbé les pharmacies et entraîné le vol massif de données médicales...
Attaque contre CDK Global
Une cyberattaque a touché CDK Global, fournisseur de logiciels pour concessionnaires automobiles. Plus de 15 000 concessions en Amérique du Nord ont subi des perturbations...
Fuite de données chez Snowflake
Des cybercriminels ont exploité des comptes clients compromis sur la plateforme Snowflake, affectant plusieurs grandes entreprises et exposant des millions de données...
Cyberattaque contre Microsoft
Un groupe lié à la Russie a compromis plusieurs comptes de messagerie d'entreprise, accédant à des informations internes et à des échanges stratégiques...
Ransomware contre Synnovis
Une attaque a perturbé plusieurs hôpitaux londoniens, entraînant l'annulation d'opérations médicales et de nombreux examens de laboratoire...
Attaque contre le réseau X
Des cybercriminels ont revendiqué des perturbations massives du réseau social, provoquant des interruptions de service et des difficultés d'accès pour les utilisateurs...